4Protokol IPsec

Protokol IPsec je komplexným súborom protokolov riešiacich šifrovanie, autentizáciu, integritu dát a proces tunelovania. Zabezpečenie je realizované na sieťovej vrstve referenčného modelu OSI (Open System Interconnection), a preto poskytuje transparentne bezpečnosť akémukoľvek prenosu, resp. ľubovoľnej sieťovej aplikácii.

Medzi základné komponenty protokolu IPsec patria:

Protokol IPsec podporuje dva pracovné režimy:

  1. transportný režim - určený pre spojenie typu Host-to-Host

V transportnom režime je zvyčajne zašifrovaný alebo overený iba obsah daného IP paketu. Smerovacie informácie zostávajú nezmenené, pokiaľ nie je hlavička IP paketu upravená ani šifrovaná. Pri použití autentizačnej hlavičky AH (Authentication Header) nemôžu byť IP adresy preložené, pretože sa vždy stratí právo na hodnotu hash. Transportné a aplikačné vrstvy sú vždy zabezpečené hashovacou funkciou, takže nemôžu byť nijako upravované (napr. zmenou čísla portu).

image
Štruktúra paketu IPsec v transportnom režime s využitím hlavičky AH
  1. tunelovací režim - určený primárne pre spojenie typu Site-to-Site

V tunelovacom režime je šifrovaný alebo overovaný celý IP paket pomocou ESP (Encapsulating Security Payload). Následne je zapuzdrený do nového IP paketu s úplne novou hlavičkou. Tento režim sa používa na tvorbu sietí VPN určených na komunikáciu medzi jednotlivými sieťami Site-to-Site (napr. medzi smerovačmi prepájajúcimi rôzne siete), Host-to-Site komunikáciu (napr. vzdialený prístup používateľa) a Host-to-Host komunikáciu (napr. súkromný chat).

image
Štruktúra paketu IPsec v tunelovacom režime s využitím ESP

Tunelovací režim protokolu IPsec podporuje NAT (Network Address Translation) a PAT (Port Address Translation).

Protokol IPsec neobsahuje v hlavičke žiadne pole určujúce typ režimu. Pracovný režim je nastavený podľa hodnoty poľa Next Header (hodnota „IP“ špecifikuje tunelovací režim, hodnoty „TCP, UDP, ICMP“ alebo čokoľvek iné identifikujú transportný režim).

Medzi výhody protokolu IPsec patrí jeho transparentnosť, tzn. nie je potrebné nijako modifikovať protokoly vyšších vrstiev, protokol IPsec môže zabezpečiť ľubovoľný protokol využívajúci protokol IP, zabezpečuje aj „staré“ protokoly, ktoré sú nezabezpečené a je široko podporovaný výrobcami HW (Hardware) a SW (Software).

K nevýhodám protokolu IPsec patrí zvýšenie systémovej réžie (overhead), nutnosť inštalácie klienta v prípade vzdialeného prístupu, sám nerieši autentizáciu používateľa, komplikácie s NAT a PAT (možný iba v tunelovacom režime) a s prenosom premávky typu multicast a broadcast.

Protokol IPsec:

  • zabezpečuje premávku na sieťovej vrstve,
  • je univerzálny na zabezpečenie ľubovoľnej TCP/IP premávky,
  • chráni pred analýzou premávky na úrovni sieťovej vrstvy tzv. Packet Sniffing,
  • je vhodný pre pevné pripojenie vzdialených používateľov,
  • nepodporuje prenos multicastu a broadcastu,
  • má problémy s prekladom adries (NAT a PAT) - mení sa adresné pole chránené HMAC-SHA1 (Hash Message Authentication Code - Secure Hash Algorithm), riešením je zabaliť IPsec paket do segmentu UDP (User Datagram Protocol) -> metóda NAT-T (NAT-Traversal) a
  • v prípade vzdialeného prístupu je vyžadovaná inštalácia klienta (môžu však vzniknúť problémy s kompatibilitou rôznych implementácií).